SSL es el acrónimo de Secure Sockets Layer (capa de sockets seguros), la tecnología estándar para mantener segura una conexión a Internet, así como para proteger cualquier información confidencial que se envía entre dos sistemas e impedir que los delincuentes lean y modifiquen cualquier dato que se transfiera, incluida información que pudiera considerarse personal. Los dos sistemas pueden ser un servidor y un cliente (por ejemplo, un sitio web de compras y un navegador) o de servidor a servidor (por ejemplo, una aplicación con información que puede identificarse como personal o con datos de nóminas).
Índice
¿Qué es un certificado SSL?
Los certificados SSL (Secure Sockets Layer), a veces denominados certificados digitales, se utilizan para establecer una conexión cifrada entre el navegador o la computadora del usuario, y un servidor o un sitio web. La conexión SSL protege los datos confidenciales, como la información de tarjetas de crédito, que se intercambian durante cada visita (denominada "sesión") y evita que sean interceptados por partes no autorizadas.
Esto lo lleva a cabo asegurándose de que todos los datos que se transfieren entre usuarios y sitios web o entre dos sistemas sean imposibles de leer. Utiliza algoritmos de cifrado para codificar los datos que se transmiten e impedir que los hackers los lean al enviarlos a través de la conexión. Esta información podría ser cualquier dato confidencial o personal, por ejemplo, números de tarjeta de crédito y otros datos bancarios, nombres y direcciones.
El protocolo TLS (Transport Layer Security, seguridad de la capa de transporte) es solo una versión actualizada y más segura de SSL. Si bien aún denominamos a nuestros certificados de seguridad SSL porque es un término más común, al comprar certificados SSL en DigiCert, en realidad se compran los certificados TLS más actualizados con la opción de cifrado ECC, RSA o DSA.
HTTPS (Hyper Text Transfer Protocol Secure o protocolo seguro de transferencia de hipertexto) aparece en la dirección URL cuando un sitio web está protegido por un certificado SSL. Los detalles del certificado, por ejemplo la entidad emisora y el nombre corporativo del propietario del sitio web, se pueden ver haciendo clic en el símbolo de candado de la barra del navegador.
Un certificado SSL se instala en el servidor pero muestra indicaciones visuales en el navegador, lo que indica a los usuarios que se encuentran protegidos con SSL. Para empezar, si en el sitio está presente SSL, los usuarios verán https:// al principio de la dirección web en lugar de http:// (la "s" extra significa "seguro"). Dependiendo del nivel de validación que un certificado otorga a un negocio, una conexión segura puede mostrarse a través de la presencia de un icono de un candado o una barra de direcciones con una señal verde.
Google aboga ahora por que HTTPS o SSL se usen en toda la red y, desde el año 2014, el motor de búsqueda ha recompensado los sitios web seguros con posiciones mejoradas en la web, otra buena razón para que cualquier sitio instale SSL.
El protocolo TLS (Transport Layer Security, seguridad de la capa de transporte) es el protocolo sucesor de SSL. TLS es una versión mejorada de SSL. Funciona de un modo muy parecido a SSL, utilizando cifrado que protege la transferencia de datos e información. Los dos términos se utilizan con frecuencia indistintamente en la industria, aunque el término SSL sigue siendo el término mayoritario. Cuando usted compra un certificado SSL de DigiCert, puede utilizarlo tanto con protocolos SSL como TLS.
Tipos de certificados
Las Autoridades de Certificación (CAs) pueden autenticar la identidad del propietario de un sitio web, al igual que el cifrado, lo que añade otra capa de seguridad. El certificado SSL se utiliza luego como prueba de la identidad de una empresa. Los certificados pueden dividirse en tres grupos de autenticación según el nivel de autenticación, y estos son:
Certificados SSL de validación de dominios
Estos certificados solo requieren que los negocios demuestren su control sobre el nombre del dominio. El certificado contiene el nombre de un dominio que se proporcionó a la autoridad emisora como parte de la petición. Debido a que aquí no se comprueba la identidad de la organización, los certificados de validación de dominios son los certificados SSL de nivel más básico, y son solamente adecuados para los servidores de pruebas y los enlaces internos.
Certificados SSL de validación de organizaciones
Este certificado requiere no solo que el solicitante demuestre que es propietario del nombre del dominio que quiere que sea seguro, sino también demostrar que su compañía está registrada y es legalmente responsable como negocio. El certificado emitido es, entonces, prueba de dominio y de nombre de la empresa. Este nivel de autenticación es adecuado para sitios web de cara al público que recogen datos personales de los usuarios del sitio. Tenga en cuenta que las personas físicas no pueden obtener tales certificados, sino solo las organizaciones y empresas.
Certificados SSL de validación extendida
El certificado SSL de validación extendida ayuda a proteger a los usuarios de proporcionar sus datos a sitios web falsos que pueden ser posteriormente usados por delincuentes para estafas de phising. Estos certificados requieren las dos validaciones anteriores, de dominio y empresa, así como varios pasos de verificación adicionales relacionados con demostrar que el certificado SSL pertenece a una empresa registrada. Esta información extra de la empresa se representa luego en el certificado emitido en la barra de direcciones y puede accederse a él desde varios navegadores Web haciendo clic en el icono de un candado. Al visitar un sitio con EV SSL, la mayoría de navegadores presentan una barra de direcciones de color verde como señal altamente visual de confianza de un sitio y empresa para gestionar la información personal. Este tipo de certificados solo están disponibles para organizaciones y empresas.
¿Como funciona un certificado SSL?
El principio básico es que, cuando instala un certificado SSL en el servidor y un navegador se conecta a él, la presencia del certificado SSL activa el protocolo SSL (o TLS), que cifrará la información que se envía entre el servidor y el navegador (o entre servidores); por supuesto, los detalles son un poco más complejos.
El protocolo SSL funciona directamente encima del protocolo de control de transmisión (TCP) y actúa como una especie de capa de seguridad. Permite que las capas de protocolo superiores se mantengan sin cambios y, al mismo tiempo, se proporciona una conexión segura. Así, debajo de la capa de SSL, las demás capas de protocolo pueden funcionar con normalidad.
Si un certificado SSL se utiliza correctamente, lo único que podrá ver un atacante será el puerto y la dirección IP que están conectados, y la cantidad aproximada de datos que se envían. Quizá sean capaces de cortar la conexión, pero el servidor y el usuario podrán percatarse de que esto se debe a un tercero. Sin embargo, como el atacante no puede interceptar ningún dato, esta acción no tiene prácticamente ninguna utilidad.
El hacker puede llegar a averiguar el nombre de host al que está conectado el usuario, pero lo importante es que no podrá identificar el resto de la URL. Como la conexión está cifrada, la información importante queda a salvo.
- El protocolo SSL comienza a actuar después de establecerse la conexión TCP e inicia lo que se denomina el protocolo de enlace de SSL.
- El servidor envía su certificado al usuario junto con una serie de especificaciones, como la versión de SSL/TLS y los métodos de cifrado que se utilizarán.
- A continuación, el usuario comprueba la validez del certificado, selecciona el nivel de cifrado más alto admitido por ambas partes e inicia una sesión segura con estos métodos. Hay una amplia variedad de series de métodos, denominados conjuntos de cifrado, con diferentes puntos fuertes.
- Para garantizar la integridad y la autenticidad de todos los mensajes que se transfieren, los protocolos SSL y TLS también incluyen un proceso de autenticación que utiliza códigos de autenticación de mensajes (MAC, Message Authentication Code). Todo esto parece largo y complicado, pero en realidad se efectúa casi de manera instantánea.
Cómo saber si usar un SSL es necesario
El hecho de que Google esté implementando los HTTPS por toda la web y dando prioridad a sitios que tienen un certificado SSL probablemente indica lo necesario que es el SSL, pero hay otras razones principales por las cuales es necesario obtener un certificado SSL.
Compras seguras
Según Business Insider, el 74 % de los carritos de compra son abandonados, pero hasta el 64 % pueden recuperarse con una mejor seguridad y flujo de salida. Gran parte de este 64 % es más susceptible de completar una compra si sabe que el área de salida es segura. Tal cantidad no puede ignorarse por parte de las empresas. Incluso si solo utilizan SSL para su área de salida, les sale a cuenta.
Ofrecer subscripciones
Si un sitio ofrece la subscripción o cualquier otra operación que implique la recopilación de direcciones electrónicas u otra información confidencial, SSL es una buena idea. Siempre es buena idea mantener la información de los clientes de la forma más segura posible.
Si se utilizan formularios
Lo mismo sucede si se utiliza cualquier tipo de formulario con el que los usuarios enviarán información, documentos o imágenes. Es sorprendente la cantidad de información que se recoge sobre los visitantes de una página web, así que vale la pena protegerla.
Si se trata simplemente de un blog o un sitio informativo estándar, HTTPS puede ayudar a proteger la seguridad de los sitios, reduciendo el riesgo de manipulación y de intrusos que añadan anuncios a la página para destruir la experiencia del cliente. Además, no le hará daño en términos de clasificación en los motores de búsqueda.
¿Los SSL funciona en todos los dispositivos?
Resumiendo, la respuesta es sí. Por supuesto, hay algunas configuraciones que no funcionarán al 100 %, así que puede resultar útil hablar con el equipo de ventas de la Autoridad certificadora si no se está seguro.
Sistemas operativos y dispositivos
De nuevo, son compatibles con todos los grandes sistemas operativos para ordenadores, tablets y móviles. Sin embargo, en el caso de los móviles, puede ocurrir que algunos dispositivos antiguos no sean compatibles con los protocolos SSL o TLS más nuevos, así que vale la pena indagar para garantizar la máxima compatibilidad. El proveedor de certificados SSL puede ayudarle si tiene alguna duda.
Compatibilidad con los navegadores
La gente usa varios navegadores (Chrome, Firefox, Safari, etc.) para acceder a los contenidos de la web. Del mismo modo que los sitios son creados para funcionar con todas las plataformas de navegadores, los SSL/TLS de un proveedor con buena reputación funcionarán en el 99 % de los casos. Si no es que los usuarios estén accediendo al sitio desde navegadores muy especializados, todos los nombres grandes quedarán cubiertos.
Servidores
Gracias al modo en que funciona SSL, los servidores no necesitan tener certificados raíz integrados, pero sí que necesitará instalar el(los) certificado(s) intermedio(s) correspondiente(s). Si el certificado está instalado correctamente, será compatible con cualquier servidor. Dependerá del navegador determinar si es de confianza o no durante el proceso del protocolo de enlace.
¿Cuáles son las implicaciones visuales de SSL?
Tal y como hemos explicado en varias ocasiones durante esta guía, normalmente el impacto visual de un certificado SSL es lo que causa un mayor efecto en los usuarios y clientes potenciales. ¿Pero cómo funciona exactamente esto y qué forma visual adoptará un SSL en un sitio?
Al igual que ocurre con cualquier compra, online o no, la mayoría de la gente preferirá comprar con un vendedor de confianza. Los certificados que demuestran autenticidad o especialización en un campo determinado contribuyen en gran medida a hacer sentir a los usuarios una mayor seguridad.
Ese es exactamente el impacto visual que un certificado SSL puede tener en clientes potenciales. SSL y TLS son los mejores estándares de la industria y los más aceptados en materia de seguridad y tales certificados deberían mostrarse con orgullo, donde todo el mundo pueda verlos.
Para empezar, aparecerán en la barra de direcciones. La introducción del sitio será https:// y no http://, y los usuarios insisten cada vez con más frecuencia sobre la diferencia.
La presencia del icono del candado en la barra de direcciones es también un gran indicador de seguridad. Proporciona una mayor confianza a los clientes de que su conexión es segura y está cifrada. Y, tal y como hemos dicho, hace que la gente esté más dispuesta a completar una transacción.
Al usar la forma más segura de certificación, el Certificado SSL de validación extendida, el nombre de la empresa aparece en verde en la barra de direcciones. Es otra forma segura de hacer saber a los clientes que su transacción es 100 % legítima.
Por último, muchos certificados SSL vienen con una imagen de un sello que puede usarse en el sitio para mostrar la marca de SSL que se utiliza. Haga saber a sus clientes que su información y seguridad están a salvo y estarán mucho más dispuestos a confiar en el sitio con su dinero. Los estudios de 2013 muestran que el sello SSL de DigiCert SSL es el más reconocido de la web.
Cómo implementar un certificado SSL en un sitio
En función de cómo y dónde se hospeda un sitio, hay varias maneras de añadir un certificado SSL. En algunos casos, si hay un elemento de comercio electrónico en el sitio, será obligatorio tener un certificado. Los grandes proveedores de alojamiento ofrecen a menudo paquetes que incluyen certificados SSL tal y como lo ofrecemos en Next Vision donde en todos nuestros paquetes de alojamiento web se incluye de manera gratuita.
También puede ser posible transferir un SSL existente de otros proveedores de alojamiento (exportándolo desde el servidor original e importándolo al nuevo servidor). Será necesario seguir las instrucciones específicas en el sitio del proveedor de alojamiento web. Tenga en cuenta que algunas autoridades de certificación requieren que se compre una licencia de servidor para cada servidor que aloje el certificado.
Conclusión
SSL es una importante herramienta de seguridad para los negocios y una de las que está jugando un papel cada vez más importante en el éxito de las transacciones online. No es nada complicado comprarla e instalarla, y dispone de ayuda durante todo el proceso con muchos proveedores de SSL.
Una introducción https:// y un icono de un candado están solo a unos clics de distancia y pueden tener un gran impacto en su negocio; aumentar sus ventas, generar la confianza del consumidor y potenciar su posición en la web, todo con un solo certificado estándar en la industria.